Κακόβουλοι παράγοντες με έδρα τη Κίνα, παραβίασαν τα συστήματα αυτοματισμού κτιρίων αρκετών ασιατικών οργανισμών, για να παρακάμψουν τα δίκτυά τους και να αποκτήσουν πρόσβαση σε πιο ασφαλείς περιοχές στα δίκτυά τους.
Δείτε επίσης: Microsoft: Ο Exchange Server 2013 φτάνει στο τέλος της υποστήριξης σε 9 μήνες
Η ομάδα APT, της οποίας η δραστηριότητα εντοπίστηκε από ερευνητές του Kaspersky ICS CERT, επικεντρώθηκε σε συσκευές που δεν είχαν ενημερωθεί για την ευπάθεια CVE-2021-26855 του Microsoft Exchange, που είναι γνωστή ως ProxyLogon.
Οι hackers στόχευσαν έναν σημαντικό αριθμό πιθανών θυμάτων, καθώς το Ολλανδικό Ινστιτούτο για την Αποκάλυψη ευπάθειας (DIVD) βρήκε 46.000 διακομιστές που δεν έχουν ενημερωθεί έναντι των ελαττωμάτων ProxyLogon μία εβδομάδα μετά την κυκλοφορία τους από τη Microsoft.
Πέρυσι, η σλοβακική εταιρεία ασφάλειας διαδικτύου ESET είπε ότι τουλάχιστον δέκα ομάδες hacking χρησιμοποιούσαν εκμεταλλεύσεις ProxyLogon τον Μάρτιο του 2021, ενώ η εκμετάλλευση in-the-wild ξεκίνησε στις 3 Ιανουαρίου, πολύ πριν η Microsoft κυκλοφορήσει ενημερώσεις κώδικα στις 2 Μαρτίου.
Μετά την παραβίαση των μηχανικών υπολογιστών στο σύστημα αυτοματισμού κτιρίου των στόχων τους, οι Κινέζοι hackers θα μπορούσαν να θέσουν σε κίνδυνο άλλα μέρη της υποδομής των θυμάτων, συμπεριλαμβανομένων ενδεικτικά, των συστημάτων ασφαλείας πληροφοριών τους.
Δείτε ακόμα: Η νέα ομάδα ToddyCat στοχεύει Exchange servers σε Ασία και Ευρώπη
Κατά την ανάλυση των επιθέσεων, οι ερευνητές βρήκαν επίσης συνδέσμους με μια άλλη κινεζική ομάδα APT, η οποία παρακολουθείται από τη Microsoft ως Hafnium, που είναι γνωστό ότι χρησιμοποίησε επίσης εκμεταλλεύσεις Exchange ProxyLogon.
Οι επιθέσεις ξεκίνησαν τον Μάρτιο του 2021 και εντοπίστηκαν για πρώτη φορά και παρακολουθήθηκαν συλλογικά ως συντονισμένες από την ίδια ομάδα ξεκινώντας από τα μέσα Οκτωβρίου 2021 μετά την ανακάλυψη ενός backdoor ShadowPad.
To backdoor, καμουφλαρισμένο ως νόμιμο λογισμικό, βρέθηκε στα συστήματα βιομηχανικού ελέγχου μιας εταιρείας τηλεπικοινωνιών στο Πακιστάν.
Καθ’ όλη τη διάρκεια αυτής της εκστρατείας, οι φορείς απειλών ανέπτυξαν επίσης άλλα κακόβουλα προγράμματα και εργαλεία, όπως το πλαίσιο CobaltStrike, το backdoor PlugX, web shell, σενάρια για κλοπή διαπιστευτηρίων και τον σαρωτή επόμενου δικτύου ανοιχτού κώδικα.
Δείτε επίσης: Microsoft: Παραβιάστηκαν Exchange servers για την ανάπτυξη BlackCat ransomware
Ο τελικός στόχος της ομάδας είναι άγνωστος, αλλά οι ερευνητές της Kaspersky ICS CERT πιστεύουν ότι οι επιτιθέμενοι πιθανότατα κυνηγούσαν ευαίσθητες πληροφορίες.
Πρόσθετες πληροφορίες, συμπεριλαμβανομένων δεικτών παραβίασης και τεχνικών λεπτομερειών, είναι διαθέσιμες στην αναφορά της Kaspersky ICS CERT.
